DEF CON 24 - 大漩涡桌游 - 后附个人声明
前言
各位知友们好!这次继续为大家带来国际顶级安全会议DEF CON 24的一个视频。
与之前我经常制作的DEF CON Crypto & Privacy(密码与隐私)系列视频相比,这个视频从专业性上讲难度就小得多,思想也很有意思。不过由于视频中包含很多我不了解的专业术语,因此翻译着实费了一番功夫,而且我怀疑翻译结果仍然有很多错误的地方。不过也没关系,只要能帮助知友们理解大意,引起大家的兴趣,甚至让部分知友可以追随演讲者给出的链接深入理解视频的基本思想和贡献,我觉得这就够了。
- 英文题目:Maelstrom: Are you playing with a full deck?
- 中文题目:大漩涡桌游:你玩的转吗?(其实我觉得这个翻译也不太恰当,因为原始题目实际上用了个双关)
- YouTube:https://www.youtube.com/watch?v=hZVcOxUxVEQ&t=188s
- 演讲人员:Shane Steiger,某知名科技公司安全架构师(他本身没透露自己所在公司的名称),拥有注册信息系统安全师(CISSP)认证
- 关键词语:攻击生命周期,桌游
攻击生命周期
谈到网络攻击,一般想到的都是渗透测试啦,漏洞利用啦,入侵啦等等的名词。但如果稍微深入思考,就会发现这些名词对应的都是具体的攻击技术,而实施攻击并非只靠技术。实际上,攻击者要经历很多阶段,在不同的阶段达到不同的目标,最终实现攻击目的。从这个角度看,安全从业人员或许不仅可以从防御某个特定攻击技术的角度来抵挡攻击,更可以站在攻击者的立场上,以各个阶段为出发点实施防御。
如果想践行这一理念,首先要做的是:定义攻击者的各个攻击阶段。Steiger给出了一个很好的参考,即从洛克希德·马丁网络狙杀链(Lockheed Martin Cyber Kill Chain)出发,定义攻击者的攻击阶段。
- 侦查阶段(Reconnaissance):收集攻击目标的信息
- 武器化阶段(Weaponization):构建可能可以使用的攻击工具,可以说是广义角度的渗透
- 传递阶段(Delivery):通过某种方法将攻击工具发送到攻击目标
- 利用阶段(Exploitation):由攻击工具触发系统中的漏洞
- 安装阶段(Installation):执行恶意脚本/安装恶意程序
- 命令&控制阶段(Command & Control):在攻击目标上开启后门,通过后门传递指令,控制攻击目标
- 攻击目的阶段(Act on Objectives):实现最终的攻击目的
仔细思考一下,整个攻击过程确实由这7个阶段来完成。只不过根据攻击目的的不同,各个阶段的攻击时间、攻击者所花费的开销等会有所不同。
定义了攻击流程后,我们可以试着从攻击流程的角度考虑防御方法,将不同的防御方法归类到不同的攻击流程上来。例如:
- 侦查阶段防御技术:指定使用特定企业的邮箱或企业内部邮箱、使用VPN技术等
- 武器化阶段防御技术:安全软件开发、漏洞检测等
- 传递阶段防御技术:企业内部邮件审计、邮件附件审查等
- 利用阶段防御技术:限制Java、Flash、Adobe Reader等插件的执行等
- 安装阶段防御技术:使用代理、抗恶意软件安装等
- 命令&控制阶段防御技术:使用代理、命令审查、网络流访问控制
- 攻击目的阶段防御技术:命令审查、数据流审查等
换一种方法思考防御
既然如此,我们可以换一种角度思考攻击与防御。攻击实际上也是一个项目计划。攻击者(有意无意地)遵循着开发计划,一步一步地实施攻击。我们知道,提到项目计划,就有项目计划的4要素:范围(Scope)、时间(Time)、花销(Cost)、质量(Quality)。
- 范围对应攻击目标范围
- 时间对应攻击执行周期
- 花销对应攻击所需的花费
- 质量对应攻击结果
因此,如果防御者能够通过某些方式影响攻击者的攻击计划,也就达到了防御目的。
大漩涡桌游
哎?等等?怎么听这个过程那么耳熟呢?我们有攻击技术,有防御技术,有攻击者和防御者,有各个攻击阶段,有攻击目的。如果把它们组合到一起,不就是一款桌游嘛!是的,Steiger这个极客就真的制作了这样一款桌游,桌游名字就叫做:大漩涡。
我们应该还有攻击卡牌和防御卡牌呀。Steiger根据著名框架ATT&CK Framework所整理的攻击技术,构建了超过60种用红色表示的攻击卡牌。
- 通过桌游,可以向大众普及安全知识。相信《三国杀》(桌游)的推出让不少知友们回过头来阅读了《三国演义》甚至是《三国志》。而《欧陆风云》(电脑游戏)的推出让无数玩家对欧洲历史产生了浓厚的兴趣。这个桌游如果确实好玩的话,也会促使玩家们回过头理解安全的相关知识。而这不就是科普的本质嘛!
- 通过桌游,可以为企业安全意识培训提供优秀的方法。很多公司的安全意识培训都是以讲座、授课的形式进行,考核方式一般就是在线答题等。如果某个企业能够参考这种方法进行安全意识培训,相信所有的员工都会乐意参与,并且会极大地增加学习的主动性。
- 通过桌游,可以为安全领域吸引人才。安全的一大问题就是相对比较抽象,门槛比较高。这对初学者来说实际上形成了一个天然的阻碍。另一方面,安全领域实在是太宽泛了:大到IT审计、IT治理,小到一个安全协议的设计,一个密码算法的调用,背后都是一大片知识。初学者很容易在这么多领域内挑花了眼。桌游可以让大家大致了解安全涉及的领域,并进一步根据自己的兴趣选择合适的领域进行研究。
有价值的链接
说了这么多,哪里能下载到呢?我这里列举视频中给出的几个链接,感兴趣的知友们可以参考。
- maelstromthegame/defcon24: Postings for DEF CON 24。这个项目的GitHub。里面包含了游戏规则、卡牌介绍、DEF CON视频的PPT等内容。
- https://vimeo.com/177304576。这是此桌游试玩的演示视频。演示视频还挺逗的,最后防御者出了个杀手锏:叫警察卡牌,令攻击状态退回到侦查阶段。这一下把攻击方搞的无语了…
- ATT&CK。MITRE公司给出的ATT&CK框架。这个框架到现在为止(2017年3月2日)列举了127个典型攻击手段。对安全感兴趣的知友们可以把它当作一个攻击技术小词典。
- Common Attack Pattern Enumeration and Classification。一个更全的攻击技术目录,如果说ATT&CK是个小词典,那CAPEC就是个辞海了。
写在最后:个人声明
回想至今,在知乎上答题/写专栏也有2年多了。在这2年多时间里,我在知乎上与很多优秀的知友们相识相知,可以说知乎带给了我很多东西,不论是认识朋友/前辈,还是获得了优质的知识。因此,我特别感谢这个高质量的社区,这也是我为何愿意为这个社区持续贡献知识(一些可能不是什么干货…)的主要原因。
2017年2月,我收到了知乎官方的推荐,成为了知乎社区“荣誉会员”的候选人之一。可以说,这是知乎社区官方对我答案和专栏文章贡献的肯定。虽然肯定是选不上的啦,但是有这样一个提名荣誉已经是对我最大的肯定了!而且客观对比,领域内其他答主的水平确实在我之上,无论是输出数量也好,输出质量也好,均超过我不是一星半点,因此我也呼吁:关注我知乎,阅览我答案和文章的知友们为他们投上一票,他们更值得拥有“荣誉会员”这一称号!
然而,参加“荣誉会员”也好,答案入选“知乎日报”或“编辑推荐”也好,虽然给我带来了很多的认可,却也给我带来了很多的负担。一方面,我的答案深度越来越弱,语言越来越啰嗦。这是因为这样半持续性的输出几乎耗尽了我的库存。我本来也只是一个只了解一点领域内知识的普通人而已,耗尽知识存储后,答案和文章越发要抓热点,迎合更多知友的认可,反而让我无法更深入的学习并理解知识本身了。就好像我现在读论文只读Introduction,而不读后面的内容了。另一方面,答案和文章认可度的提升让我自己有点飘飘然。我明显觉得自己对待知识、对待知友们的态度越来越差(至少我自己觉得越来越差)。但我其实什么也不是。在此,我也想给所有知友们道歉。如果我的答案、文章、评论中有冒犯之处,还请知友们原谅…
近期几件事情也深深触动了我,让我理解到科普本身是对的,但是为了科普而科普,甚至为了科普而丢了自己本来拥有的优势,这是不可原谅的。为了一些虚荣,我其实已经迷失了方向。而在我迷失方向的时候,领域内/领域外的很多朋友们都在进步着。我在知乎上回答问题,撰写专栏,本身是为了给自己一个追新知识的契机,但我现在变成了自己最讨厌的样子。我周围朋友前几天不经意的一句话也点醒了我:“我现在觉得有时候不能浪费你的时间”。TA说这句话本身没有恶意。但我觉得,我的心态其实已经爆炸了,这不是我真正想要的。
所以,借着写完毕业论文的状态,我认为是时候放下之前得到的一切,是时候重新轻装上阵,带着我5年前什么都不懂但什么都想学的态度,重新开始了。我决定离开知乎一段时间,停止答案和本专栏的更新。因此,Black Hat、DEF CON优质视频的翻译和分享也将告一段落。当然了,除暂时离开知乎之外,我也有一些其它的计划和决定,但那些和知乎社区关系不大了…
我还会阅览知乎上的优质答案,支持好答案,为好答案点赞!另外,我仍然会前往盐Club,带着自己的热情,和优秀的答主们相见相识(当然了,要是这篇文章发布后邀请被撤销了,也是有可能的,哈哈哈)。
2017年3月26日,不见不散。
